Könnte nicht auch die Fritte blockieren?
Ehrlich gesagt ist mir das Thema schon zu komplex, aber ich fürchte es hat eher mit dem Passthrough der Fritzbox zu tun. Glaub nicht, daß A1 da was blockieren würde.
Ist dann ja eh völlig sinnbefreit dort einen Fritzbox anzuhängen, kannst nicht ein anderes einfaches Betreibermodem im SU-Mode drantun und damit testen?
was sind root DNS-Server?
Reden wir von Cloudflare, Google, Quad9….?
DNS läuft über Port 53.
Client zu DNS über UDP
DNS zu DNS über TCP
Check vielleicht das mal.
Es geht vermutlich um diese DNS Server: https://de.wikipedia.org/wiki/Root-Nameserver
Kurzfassung, DNS ist hierachisch und irgendwo ist halt der Null Punkt. Die Root DNS Server wissen, welche DNS Server für .com, .at, .de etc verantwortlich sind.
Ob A1 da etwas blockiert kann ich leider nicht testen.
In diesem Fall würde es tortzdem über UDP laufen, weil es kleine Anfragen sind. Bei größeren Anfragen / Zonen Transfer wird eher TCP verwendet.
Hallo zusammen,
@Grisu Ich bin mir ziemlich sicher, dass die Fritte da dazwischen nix macht. Die wird ja auch nicht als Router verwendet und kommt selbst auch gar nicht ins Internet (klingt komisch, ist aber so :)).
Die PPoE Einwahl macht meine pfsense, diese bekommt somit auch die offizielle IP zugewiesen. Die Fritte wird nur als Modemhardware verwendet und mault vor sich hin, weil sie selbst kein Internet hat. (was works as designed ist)
@cos.renegade es ist genau so, wie @jo93 schreibt. Cloudflare, Google, QUAD9 oder die DNS-Server vom Provider sind alles nur Cache-Server, keine echten DNS-Server.
Ich will mit meinem lokalen DNS-Server direkt mit den Root-Nameservern kommunizieren. Bei manchen Providern geht das, bei anderen nicht. Ich habe im Netgate-Forum auch schon A1 Kunden getroffen, bei denen es geht. Es dürfte also nicht ganz konsistent in der Konfiguration bei A1 sein. Bzw. ists vielleicht auch Standort abhängig.
Habe auf der pfsense schon mehrere Captures gemacht. Ein nmap auf udp/tcp 53 zu einem Root-Server hab ich mal getestet. Das geht. Aber die echten DNS-Request sehe ich das WAN-Interface zwar verlassen, jedoch kommt niemals nie eine Antwort zurück. Ich kann mir nur vorstellen, dass die A1 hier ne Deep Packet Inspection aktiv hat und “echte” DNS-Requests einfach dropped. Nur wie erkläre ich das dem A1 Support. Es war damals vor der Fritzboxzeit schon eine echte Odyssey denen klar zu machen, dass sie mir den Router auf Modem umstellen sollen. Der normale Support war zwar freundlich, hatte aber keine Ahnung was ich will und verwies mich auf die bezahlpflichtige Guru-Hotline. Die haben mir das dann mit viel Gezeter und Unfreundlichkeit dann missbilligend und gegen Einwurf von Geld dann gemacht.
Könnte auch unterschiedlich zw. Business und Customer Anschlüssen sein.
Könnte auch unterschiedlich zw. Business und Customer Anschlüssen sein.
Das war auch meine erste Idee. Ist lt. dem Anwender aber nicht so. Er ist eben in der Steiermark, ich in Salzburg.
DNS Root Server sind da um mit anderen DNS Servern zu kommunizieren. Eventuell ist der DNS Client nicht dafür ausgelegt. Es kann auch sein, dass bestimmte Netzwerkprotokolle nicht ausgeführt werden zB ICMP. Aber das ist pure Spekulation meinerseits.
Auf jeden Fall interessanter Beitrag, schon einmal danke dafür!
@BigR2020
Ja genau, meine pfsense firewall hat ja einen echten DNS-Server drauf (unbound). Dessen präferierte Kommunikation wäre eben DNS zu DNS. Einen Cache-Server zB. von Cloudflare, Google, QUAD9, A1, ...egal zu verwenden ist da eigentlich nur die zweit beste Lösung und in unbound nur die Fallback Lösung. Pingen kann ich ja (ICMP), nmap auf udp/tcp 53 geht auch. Aber nmap ist eben keine echte DNS-Kommunikation, sondern nur eine Art Ping auf einen specifischen Port. Firewalls können auch eine sogenannte DPI (Deep Packet Inspection) machen. In dem die Netzwerkpakete nicht nur anhand des Ports gefiltert werden, sondern in jedes Paket genau reingeschaut wird, was es wirklich ist. Meine These ist, die DPI lässt einfach keine DNS-Kommunikation zu den Root-Servern durch, bzw. dropped die einfach kommentarlos. Denn es kommt keine Reject Meldung zurück auf meine Anfragen. Es kommt einfach gar nichts zurück, wird also verworfen.
In den 90ern hatte ich meinen eigenen DNS Server unter Linux (bind) und einen transparenten Proxy (squid). Eingewählt habe ich mich per Modem. Wenn ich mich richtg erinnere habe ich auch ICMP Pakete für den DNS Server gesehen. Aber da kann ich mich auch täuschen. Soviel ich weiß, betreibt A1 ICMP Filtering was für einen großen Provider sinnvoll ist.
Lieber @manuel.aigner,
war unter den vielen hilfreichen Kommentaren meiner Vorposter die Antwort bzw. ein Hinweis auf die mögliche Lösung dabei? - Wenn ja wäre es toll, wenn du es als “beste Antwort” markierst!
Vielen Dank,
Wolfgang
Hi @A1_Wolfgang
Es waren auf jeden Fall gute Inputs dabei, ja. Leider hat noch nichts zur Lösung führen können. Fürchte ich muss wohl doch auf die kostenpflichtige Guru-Hotline zurückgreifen. Der normale Support wusste leider überhaupt nicht wovon ich überhaupt rede.
@hwk123 Danke, guter Punkt. Hätte ich ich auch ausprobiert, unbound kann ja DNSSEC und das ist per default auch alles an.
Bei den Tutorials ist das bei der pfsense auch überhaupt kein Aufwand alles einzurichten, geht alles wunderbar über die UI. War auch schon im netgate Forum, dort tippt man auch eher auf eine Blockade seitens des Providers.
Also bei mir klappts zumindest wunderbar, halt nur via nslookup getestet, aber das ging (residential DSL access)
Oh interessant, wie schaut dein “Testaufbau” aus?
simples nslookup vom PC aus…
PS C:\Users\W> nslookup
Standardserver: x
Address: 192.168.1.254
> server 192.112.36.4
Standardserver: G.ROOT-SERVERS.NET
Address: 192.112.36.4
> www.google.at
Server: G.ROOT-SERVERS.NET
Address: 192.112.36.4
Name: www.google.at
Served by:
- ns9.univie.ac.at
194.0.10.100
2001:678:d::cafe
at
- ns2.univie.ac.at
192.92.125.2
2001:678:1c::2
at
- d.ns.at
81.91.161.98
at
- j.ns.at
194.146.106.50
2001:67c:1010:12::53
at
- n.ns.at
81.91.173.130
2a02:568:281::130
at
- u.ns.at
185.102.12.2
2a02:850:ffff::2
at
- ns1.univie.ac.at
78.104.144.2
2001:628:2030:4301::2
at
- r.ns.at
194.0.25.10
2001:678:20::10
at
aber sehr interssant ist, wenn ich den Server mit Namen anspreche, hab ich anderes verhalten...
PS C:\Users\W> nslookup
Standardserver: x
Address: 192.168.1.254
> server G.ROOT-SERVERS.NET
Standardserver: G.ROOT-SERVERS.NET
Addresses: 2001:500:12::d0d
192.112.36.4
> www.google.at
Server: G.ROOT-SERVERS.NET
Addresses: 2001:500:12::d0d
192.112.36.4
*** www.google.at wurde von G.ROOT-SERVERS.NET nicht gefunden: No response from server.
It's always DNS :)
Ah sieht so aus, als würde es bei IPv6 sich komisch verhalten.
It's always DNS :)
Ah sieht so aus, als würde es bei IPv6 sich komisch verhalten.
Da hätte man auch drauf kommen können,ne?
@w1-net
tatsächlich funktioniert es bei mir über nslookup ebenfalls, wenn ich die Verwendung eines Rootservers forciere. Ich vermute aber, dass ne Server zu Server Verbindung nicht ganz das selbe ist, wie ne Client zu Server.
Habs auch mit meiner test pfsense (VM) nochmal versucht, die hat dieselben Probleme wie die Hardware. Seitens pfsense muss man da eigentlich nicht viele einstellen, damit das funktioniert. Da stellt man einfach von “forwarder” auf “resolver” Modus und das sollte es im Normalfall gewesen sein.